区块链:慢雾创始人余弦：2020 后区块链世界及安全的一些思考

在这作为已经是区块链世界的局内人，我有一些思考写出来和我的关注者们聊聊。

三个魔盒

区块链发展史，我认为有三个魔盒般的里程碑，既然是魔盒，那一定是带来足够影响力的，虽然不一定带来足够的落地。

第一个就是比特币，中本聪共识的世界，这个其实不用多说，比特币/中本聪已经是这个世界的最高信仰。

说个有趣的，在维基百科上“密码朋克”人物列表里，一个是中本聪，另一个是阿桑奇。阿桑奇是维基解密(WikiLeaks)创始人，2006 年底就开始运作维基解密，维基解密是通过协助知情人让组织、企业、政府在阳光下运作的、无国界、非盈利的互联网媒体，由于发布了大量机密文件而其饱受争议，反正许多强大的国家不喜欢他们，最终这些国家忍无可忍，2019 年，正式把阿桑奇给抓了...

回到 2010 年，当时阿桑奇看到了比特币的发展，宣布维基解密要接收比特币赞助，这是个非常天才的想法，除了比特币，维基解密的法币赞助渠道都被各国监管严密封堵，而比特币很难被封堵。当时中本聪很着急，觉得阿桑奇你这样高调宣布，这对才发展 2 年的比特币来说可不是个好事，毕竟维基解密是什么局面？中本聪又不是傻子，万一一个不小心，才 2 年的比特币被超级力量干掉，那如何是好。当时中本聪留下了一段话：

慢雾：从Multichain流出的资金总额高达2.65亿美元，分布在9条链:金色财经报道，自7月7日以来，从 Multichain 流出的资金总额高达 2.65 亿美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结，1,296,990.99 ICE（约 162 万美元） 被 Token 发行方 Burn。流出的资金中，包括：

1）从 Multichain: Old BSC Bridge 转出的 USDT；

2）从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）从 Anyswap: Bridge Fantom 转出的 BIFI；

4）从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC；

5）从 MultiChain: Doge Bridge 转出的 USDC；

6）从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH，同时我们认为该标记（Fake Phishing183873）或许是 Etherscan 上的虚假标记，地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]

It would have been nice to get this attention in any other context. WikiLeaks has kicked the hornet's nest(马蜂窝), and the swarm is headed towards us.

慢雾：攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称，通过将交易放在bloxy.info上查看完整交易流程，可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用，但是这两次调用都是独立的，并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着，在第二次“supply()”函数的调用过程中，攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用，最终提现。慢雾安全团队表示，不难分析出，攻击者的“withdraw()”调用是发生在transferFrom函数中，也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显，攻击者通过“supply()”函数重入了Lendf.Me合约，造成了重入攻击。[2020/4/19]

from: https://bitcointalk.org/index.php?topic=2216.msg29280#msg29280

2011 年，中本聪消失了...我们不好推测他为什么消失，但确实比特币已经开始失控地发展。现在回头来看，比特币过去的历史波澜成就了比特币的今天，比特币打开了加密货币世界的第一个魔盒。

慢雾：Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误，Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder，Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒：数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书，请及时确认是否受到影响。如有影响请及时更新证书，以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

第二个魔盒是以太坊打开的，引入了图灵完备的智能合约，让区块链不仅是跑加密货币，还可以跑自定义计算，虽然这种计算并没想象的那种“智能”，虽然这个魔盒的打开带来了许多乱象，但我们现在知道：“哦，区块链能做这样的事。”

第三个魔盒是 Libra 打开的，这个魔盒的开启，让非加密货币世界的人都关注到：“哇，原来区块链能被这样的玩...”Libra 这个一揽子全球稳定币由 Facebook 主导，整个官网充满了数字货币革命的感觉，愿景极其霸气：

建立一套简单的全球货币和金融基础设施，为数十亿人服务。

重新创造货币。重塑全球经济。让世界各地的人们过上更美好的生活。

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

Libra 之后，大家也很快看到了我们国家对区块链的大态度：“区块链一定要干！”“加密货币不行，要严格监管！”无论如何，区块链在我国是真的火了...

一个割裂

三个魔盒打开后，这个世界有一个明显割裂：公链与联盟链。

公链上的加密货币虽然在一些发达国家及第三世界国家已经得到某种程度的认可，比如承认这是“个人财产”，甚至在小范围内还可以作为合法支付货币，但这些都在严格的监管法案下进行，尤其特别强调反。但加密货币对于现有世界秩序来说，普遍还是个被非常警惕对待的新事物。

声音 | 慢雾预警：攻击者喊话所有链上伪随机数(PRNG)都可被攻击:攻击者 floatingsnow 向自己的子账号 norealrandom、dolastattack 转账并在 memo 中喊话：hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num

从账号名称和 memo 可知攻击者对目前 EOS DApp 链上随机数方案了如指掌，攻击者指出 tapos_block_prefix/tapos_block_num 均不安全，并提议 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]

但联盟链不一样，联盟链是现有世界秩序喜欢的形态，因为可自主也可控，纵观现有联盟链场景都可以发现一个共同特点“许可模式”。只有被许可的单位才能参与进联盟链，才可以成为联盟链的一个关键节点。联盟链对应的场景一定有某种形式存在的“超级监管方”，这个“超级监管方”负责监控及管理这个场景下各方单位的活动博弈，当然这个“超级监管方”也可能被分权为“超级监控方”及“超级管理方”。你看，联盟链是多好的东西。当然联盟链也存在许多鱼龙混杂情况，这些就不谈了。

公链生态

特别提下公链生态，联盟链生态没什么好提的，让子弹多飞会再说:-)

既然是公链，那就是全世界的公共区块链，野蛮发展是其最大的基因，如何有效监管这是个大话题，这里不谈。这里简单罗列下公链世界里我认为有趣的目前是小范围的一些刚需。

支付需求：具有全球广泛共识的加密货币，如比特币、门罗币、以太坊，在某些场景可进行支付与结算，包括运行其上的稳定币

金融需求：去中心化金融(DeFi) DApp，这个目前在以太坊上已经有不错的小范围应用出现，不过主要围绕抵押借贷，但在向现有世界金融场景努力借鉴并在去中心化场景努力改进

娱乐需求：一些游戏竞技类 DApp，比如运行在以太坊、EOS、波场上的，有高质量的，虽然相比现有世界的游戏场景来说，玩家实在太少太少

隐私需求：Web3.0，用户掌握私钥即掌握了资产及隐私权力，说白了就是 Web3.0 可以让人民比较好地“当家作主”，我觉得这是个非常有意义的长远方向，但推进速度并不会很快

炒币需求：这个在哪个世界都是这样“东西不炒，动力就少”，这就是为什么那么多加密货币交易所的存在，这也诞生了许多乱象

存储需求：有不少人和我类似，喜欢的加密货币会长期持有着，那就得安全存储着呀，加密货币钱包也就这样百花齐放了

算力需求：无论是 PoW，还是 PoS/DPoS 等，本质都是拥有“算力”即拥有“出块权”，也即拥有“铸币权”。当然“铸币权”不一定要靠“算力”来拥有，比如 USDT/TUSD/USDC/GUSD/PAX 等本质是很中心化的加密货币稳定币，再比如黑客掌握了某类型漏洞也是可以有“铸币权”，但是黑客的这种“铸币权”不长久，这种漏洞在全球顶级公链里也不容易拥有

大概这 7 个点，可能还有一些，先这样。这些需求的融合与进化让我对 2020 之后的区块链世界充满期待。公链的进化会诞生真正的隐私、自由与安全的群体；公链的进化会解决国家、种族、群体之间的某些信任边界。嗯，说的有些大，但会是这样。

说到安全

公链世界里的安全是强刚需，可以认为这是一种新型的金融安全方向，所有新秩序都在“摸着石头过河”，对于安全来说，除了一起跟着“摸着石头过河”并没特别清晰的指引。但我觉得这样才有趣，方向足够新，空间足够大，带着安全队伍开疆拓土。

安全附属在生态里，上面提的公链生态每个点都有绝对的安全刚需，除了传统网络安全攻防，更多的是公链本身的安全攻防，我们把这两部分成为“链下安全及链上安全”。关于安全在区块链世界的重要性，可以见我之前的一篇文章，这里不做过多讲解。

安全是区块链生态里的基础设施之一，无论公链还是联盟链。但从刚需的生意角度来看，安全在公链世界里是强刚需，可以诞生足够强大的区块链安全公司；安全在联盟链世界里是“伪需求”，安全公司在这个世界里和在已有的世界秩序里的存在感差不多，会有，不是没有市场，但严重缺乏想象力。关于联盟链安全再补充一点：联盟链的太多场景，安全是非常滞后的，并未如公链的许多场景那样经历过足够的安全对抗考验。其中一个非常可怕的安全攻防入口是“超级监管方”，这个可以直接决定一条联盟链的生死。

不得不说的一点：在安全这个基础设施之上构建的安全衍生品才是真正大的市场。这个世界需要安全的支付场景、安全的金融场景、安全的娱乐场景、安全的隐私场景、安全的炒币场景、安全的存储场景、安全的算力场景等等。场景里已经不是纯粹的安全攻防需求，而是基于安全的衍生品需求。

在这，我们已经将安全分为两大部分：安全产品及安全衍生品。

安全产品本身就有不少的创造空间，链上安全及链下安全的一些独特创造：

链上层面可以有自己的漏洞扫描、防火墙、反等，核心组件一定是在链上实现的，比如在智能合约层，在智能合约的用户层及智能合约的系统层都可以做些工作。

链下层面有更大的创造空间，可以有自己的漏洞扫描、威胁分析、事件分析、防火墙、反等等，核心组件在链下实现，通过区块链的几个入口进行相关安全策略实施，如 RPC、P2P、智能合约虚拟机等。

至于安全衍生品，需求上面有提，这里就不展开谈了:-)

谈了怎么给区块链世界做安全，那区块链技术的运用能否解决现有世界的某些安全问题呢？

当然可以呀，区块链有个非常核心的能力是解决了信任的问题，前面有提到的 Web3.0，“人民当家作主”，人民掌握了私钥即掌握了自己的资产与隐私，这个如果应用的好，可以很好解决当前互联网隐私大爆炸（泄露）的痛点，这些隐私为什么会大爆炸呢，就是因为现有的隐私安全模型在当前的互联网下比较脆弱。那么可以完美解决吗？我倒是不这样认为:-)

私钥是个神奇的东西，是密码学光辉的一种体现，基于私钥是可以有许多有趣的创造，私钥不仅个人可以使用，也可以多方使用，比如安全多方计算的运用可以解决多方角色需要授权使用资产或隐私的安全问题。虽然这些过程，不需要区块链也行，但结合了区块链也等同于结合了某种信任模型，区块链让密码学的光辉应用得到进一大步的发挥。我们的创造着力点一定是在这些可信环节上。

区块链不是万能药水或银弹，但却是魔法药水，在多方博弈的场景下可以降低信任成本，降低审计成本。那是不是一定要用区块链技术？这个真不是。那是不是所有公链都有价值？必然也不是。看事情看本质，做事情做客观。敬畏力量，但远离非黑即白者。

最后

最后我想说：未来虚拟世界是绝对的独立智慧体（硅基生命），加密世界是绝对的一个大势，加密货币是绝对的一个刚需存在，虽然这个未来还有不少距离，但这个未来是一座灯塔。

区块链安全也追随这这座灯塔，创造空间无限，市场空间无限。

In Blockchain We Trust;-)

感谢我的关注者与支持者们，感谢我的区块链安全团队，其中一个是慢雾，另一个是？2020 年，慢慢的，大家就会知道啦。

标签：区块链USD联盟链比特币区块链币在哪个平台交易USDN币联盟链币有哪些玩比特币的男人能嫁么

比特币行情热门资讯